abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 11:55 | IT novinky

    Americká internetová společnost Google nemusí prodat svůj prohlížeč Chrome ani operační systém Android. Rozhodl o tom soud ve Washingtonu, který tak zamítl požadavek amerického ministerstva spravedlnosti. Soud ale firmě nařídil sdílet data s jinými podniky v zájmu posílení konkurence v oblasti internetového vyhledávání. Zároveň Googlu zakázal uzavírat dohody s výrobci mobilních a dalších zařízení, které by znemožňovaly

    … více »
    Ladislav Hagara | Komentářů: 3
    dnes 11:33 | Humor

    Prvního září ozbrojení policisté zatkli na na londýnském letišti Heathrow scénáristu a režiséra Grahama Linehana, známého především komediálními seriály Ajťáci, Otec Ted nebo Black Books. Během výslechu měl 57letý Graham nebezpečně zvýšený krevní tlak až na samou hranici mrtvice a proto byl z policejní stanice převezen do nemocnice. Důvodem zatčení bylo údajné podněcování násilí v jeho 'vtipných' příspěvcích na sociální síti

    … více »
    Gréta | Komentářů: 13
    dnes 10:22 | Pozvánky

    Studentská dílna Macgyver zve na další Virtuální Bastlírnu - pravidelné online setkání všech, kdo mají blízko k bastlení, elektronice, IT, vědě a technice. Letní prázdniny jsou za námi a je čas probrat novinky, které se přes srpen nahromadily. Tentokrát jich je více než 50! Těšit se můžete mimo jiné na:

    Hardware – Bus Pirate na ESP32, reverse engineering Raspberry Pi, pseudo-ZX-80 na RISC-V, PicoCalc, organizéry na nářadí z pěny nebo … více »
    bkralik | Komentářů: 0
    dnes 03:11 | Nová verze

    Google Chrome 140 byl prohlášen za stabilní. Nejnovější stabilní verze 140.0.7339.80 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 6 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    dnes 02:22 | Nová verze

    LeoCAD (Wikipedie) je svobodná multiplatformní aplikace umožňující také na Linuxu vytvářet virtuální 3D modely z kostek lega. Vydána byla verze 25.09. Zdrojové kódy a AppImage jsou k dispozici na GitHubu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    včera 21:00 | IT novinky

    RubyMine, tj. IDE pro Ruby a Rails od společnosti JetBrains, je nově zdarma pro nekomerční použití.

    Ladislav Hagara | Komentářů: 0
    včera 18:22 | Nová verze

    Český LibreOffice tým vydává překlad příručky LibreOffice Calc 25.2. Calc je tabulkový procesor kancelářského balíku LibreOffice. Příručka je ke stažení na stránce dokumentace.

    ZCR | Komentářů: 2
    včera 01:44 | Nová verze

    Byla vydána (Mastodon, 𝕏) vývojová verze 3.1.4 příští stabilní verze 3.2 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání.

    Ladislav Hagara | Komentářů: 0
    1.9. 23:44 | Nová verze

    Zakladatel ChimeraOS představil další linuxovou distribuci zaměřenou na hráče počítačových her. Kazeta je linuxová distribuce inspirována herními konzolemi z 90. let. Pro hraní hry je potřeba vložit paměťové médium s danou hrou. Doporučeny jsou SD karty.

    Ladislav Hagara | Komentářů: 0
    1.9. 23:00 | Nová verze

    Komunita kolem Linuxu From Scratch (LFS) vydala Linux From Scratch 12.4 a Linux From Scratch 12.4 se systemd. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů přichází s Glibc 2.42, Binutils 2.45 a Linuxem 6.15.1. Současně bylo oznámeno vydání verze 12.4 knih Beyond Linux From Scratch (BLFS) a Beyond Linux From Scratch se systemd.

    Ladislav Hagara | Komentářů: 0
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (82%)
     (8%)
     (2%)
     (3%)
     (4%)
     (2%)
    Celkem 130 hlasů
     Komentářů: 9, poslední 28.8. 11:53
    Rozcestník

    DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved

    16.9.2021 02:32 | Přečteno: 1655× | poslední úprava: 16.9.2021 04:28

    Dneska mi provider poněkud zkur*vil DNSku pod nohama, a jak se říká, nouze naučila Dalibora housti...

    Po nemilém zjištění, že /etc/resolv.conf je již dnes považován za passé (toto samozřejmě neplatí pro Debian, čest jim), jsem prskaje nechutí nastudoval něco málo ze systemd-resolved a se štěstím se mi podařilo nakonfigurovat ho tak, aby používal DNS servery nic.cz a zároveň s DNSSEC a DNS-over-TLS. Nejsem si jist, jak moc je to nové nebo užitečné, ale když už jsem to zjistil, tak to dávám k dispozici.

    Stačí oeditovat /etc/systemd/resolved.conf a změnit tyto čtyři řádky:

    DNS=193.17.47.1#odvr.nic.cz
    FallbackDNS=185.43.135.1#odvr.nic.cz
    DNSSEC=yes
    DNSOverTLS=yes
    

    Po restartování systemctl restart systemd-resolved by se už měl stroj ptát na DNS dotazy NICu a jako drobný bonus bude to spojení šifrované. Není to žádná výhra samo o sobě, ale každá kapka šifrování se hodí.

    EDIT: DNSOverTLS=yes může způsobit problém, pokud je potřeba občas dynamicky přidat další DNS, třeba pro VPNku - pokud to další DNSko nepodporuje TLS, nebude vůbec fungovat; v takovém případě nezbývá než nastavit DNSOverTLS=opportunistic, s tím, že TLS se použije jen tehdy, pokud to jde - samozřejmě to otvírá dveře možnosti downgrade útoku :-(

    Děkuji za pozornost.

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Jendа avatar 16.9.2021 10:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    toto samozřejmě neplatí pro Debian, čest jim
    A jak to teda funguje v jiných distribucích? Já myslel, že program (resp. jeho glibc) se podívá do /etc/nsswitch.conf a /etc/resolv.conf a pak se zeptá DNS serveru, který takto najde. Fungovalo to takhle dříve a co se teď změnilo?

    Jediné, co je poslední dobou populární je, že si spustíš nějakou službu, která /etc/resolv.conf spravuje - to vždycky dělal DHCP klient (dává to smysl, pokud chceš používat DNS servery sítě kterou konfiguruješ přes DHCP, a jde to vypnout), pak existoval resolvconf (jehož důvod defaultní přítomnosti na různých Raspbianech jsem nepochopil) a teď se občas dělá to, že se spustí lokální DNS server a do /etc/resolv.conf se zapíše ten. To má spoustu výhod (DNSSEC, možnost použití „soukromých“ TLD a split-horizon DNS třeba ve VPN, cachování) i nevýhod (je to komplikovanější). Uživatelská aplikace ale stále používá ten původní mechanismus dotazování serveru, který si přečetla v /etc/resolv.conf.

    No a Debian s tím souvisí jenom tak, že defaultně tyhle věci neinstaluje/nezapíná.
    16.9.2021 12:20 marbu | skóre: 31 | blog: hromada | Brno
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    +1 Funguje to imho pořád stejně.

    Při nasazení systemd-resolved je /etc/resolv.conf symlink na /run/systemd/resolve/stub-resolv.conf, který systemd-resolved generuje dynamicky.
    There is no point in being so cool in a cold world.
    Bluebear avatar 16.9.2021 15:06 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Se systemd-resolved to je tak, že spouští vlastní lokální DNS server a do /etc/resolv.conf potom dá odkaz na tento (tedy skutečně jedna z možností, které jsi zmiňoval).

    Manuál k systemd-resolved ovšem považuje pouhé čtení /etc/resolv.conf za legacy, protože Pravý Moderní Kód(tm) by se měl dotazovat přes lokální message bus přímo resolved. :) Aspoň tak jsem to pochopil. Ale původní metoda stále chodí (taky by asi vyprovokovali lynč, kdyby to nepodporovali).

    Jedna ze skvělých věcí na debianu je, že řada těchto věcí je opt-in, jak by to mělo být; řada jiných dister je v tomto ohledu ale dosti nekompromisní.
    To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...
    16.9.2021 23:04 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Jo. A pak nám klienti píšou, že máme špatně nastavené nameservery. Skutečnost: ta systemd sračka při dopředném překladu vytimeoutuje na překladu reverzu. (No dobře, přibližně, už si přesně nepamatuju, proč se tam tomu člověku ten překlad reverzu dělal, jenom že to rozhodně nebylo potřeba.)

    Hm, tak jsem si to našel. Při práci s poštou (IMAP) se pixla rozhodla, že k něčemu potřebuje reverzy IMAP serveru. Proč? Těžko říct. Každopádně milej systemd rozhodl, že dvě sekundy je na odpověď od DNS serveru dost (v ideálním světě by to tak bylo, v reálném ne) a že cache pro negativní odpovědi je buržoazní přežitek. A klient (životný) nemohl pracovat s poštou, protože poštovní klient (neživotný) čekal a čekal a čekal a čekal.
    Quando omni flunkus moritati
    17.9.2021 08:17 j
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    To vis, to je tak, kdyz neco vymejsli neytelygentnejsi clovek na planete ... ;D

    On totiz kupodivu kdyz nekdo chce lokalni dns, tak si pusti lokalni dns, ale 99% lidi(a adminu) rozhodne nechce provozovat lokalni dns na kazdym stroji, uz jen proto, ze to je dalsi bezpecnostni dira a v tomhle pripade doslova a dopismene jak doprdele.

    ---

    Dete s tim guuglem dopice!
    17.9.2021 10:34 MP
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Nevim do ceho kopete. 2s timeout je i default pro resolv. A jak jsem si vsiml, resolv ani zadnou cache nema.

    Max avatar 18.9.2021 01:08 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Cache pro negativní odpovědi považuji za nejhorší vymoženost. Je to první věc, které se zbavuji.
    Zdar Max
    Měl jsem sen ... :(
    19.9.2021 13:38 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Když myslíte, že je lepší se na to samé ptát furt dokola, tak proti gustu...
    Quando omni flunkus moritati
    Max avatar 20.9.2021 01:30 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Přijde mi to nespolehlivé. Několikrát jsem řešil nefunkčnost některých služeb a vždy to bylo kvůli tomu, že se do negativní cache dostala nějaká doména. Jestli to způsoboval nějaký zlobící prvek, už přesně nevím.
    Zdar Max
    Měl jsem sen ... :(
    20.9.2021 12:10 _
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    nemluv sám se sebou Jirko
    16.9.2021 15:46 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: DNSSEC + DNS-over-TLS s nic.cz a systemd-resolved
    Má stále DNSoverTLS tu vlastnost, že je pořád otevřený jeden šifrovaný tunel s dlouhou životností? Trpělo to potom na to, že když se resolvnulo něco co ztotožnilo uživatele, tak se k němu dají přiřadit všechny ostatní requesty ze session.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.